在資安攻擊手法日新月異、企業IT環境日漸複雜的今天,「零信任架構」成為全球公認的新世代資安防護策略。不同於傳統「邊界防禦」將內外網劃分、假設內部可信、外部不可信的模式,零信任強調「從不信任,永遠驗證」(Never trust, always verify),每一筆存取行為都需經過身份驗證、風險評估與授權。
本文將帶你全面了解零信任架構的核心觀念、發展背景、主要技術組成,並整理台灣與國際政府對零信任的推動政策與法規,以及企業導入零信任的必要性與實務建議。
一、零信任架構是什麼?
零信任(Zero Trust)是一種資安模型,主張在任何情況下,不預設任何使用者、裝置、應用程式或網路流量是可信任的,所有存取行為必須動態驗證並依據風險動態授權。即使是內部網路的存取,也必須經過多重驗證與持續監控。
美國國家標準技術研究所2020年發布的 NIST SP 800-207 說明,零信任架構的設計目的即是防止攻擊者一旦進入網路後橫向移動、竊取資料或癱瘓系統。
零信任核心原則:
- 驗證並授權所有存取行為:不論內部或外部,都需驗證身份與裝置健康狀態。
- 最小權限原則:使用者僅能存取完成任務所需的最小資源範圍。
- 微分段:將網路劃分成多個安全區域,避免橫向移動攻擊。
- 持續監控與即時風險評估:即時分析存取行為異常,快速反應潛在威脅。
零信任架構五大支柱:
根據 CISA Zero Trust Maturity Model 與 NIST SP 800-207,零信任架構主要由以下五大支柱構成:
- 身分識別(Identity)
確保所有存取行為皆經過嚴謹身份驗證與授權,採用多因素驗證(MFA)、行為式驗證及持續身份風險評估。 - 設備(Devices)
管理與監控存取企業資源的裝置,確保設備符合安全基準,如作業系統版本、漏洞修補、惡意程式防護狀態,並依裝置健康狀態決定授權範圍。 - 網路(Networks)
實施微分段,給予最低授權的允許,例如在特定時間內,以及特定資料,僅允許驗證授權流量通行,並持續監控異常行為,阻斷橫向移動攻擊。 - 應用程式與工作負載(Application and Workload)
保護企業內外部應用程式與雲端、容器化服務工作負載,控管應用存取權限、API 安全與應用行為監控。 - 資料(Data)
對敏感資料實施分類分級、全程加密與權限控管,確保資料在儲存、傳輸與使用過程皆符合資安政策,並可溯源追蹤異常存取行為。
二、傳統資安防護已不敷使用
根據 Verizon 2024 年《Data Breach Investigations Report》指出,帳號濫用、憑證竊取與內部存取濫權等問題,在全球資安事件中持續占有顯著比例。這也反映出,傳統以邊界防禦為核心的資安模式,面對內部威脅和攻擊者橫向滲透的挑戰已經不夠用了。企業現在急需採用更全面的防禦策略,比如零信任架構,來強化身份驗證和持續監控,提升整體的安全韌性。
隨著企業 IT 環境越來越依賴雲端、行動裝置和遠距工作,系統變得更加分散,傳統的 VPN 和防火牆已經無法完整保護所有資源和終端,存取控管與可視性也大打折扣。
為了因應這些挑戰,美國政府在 2021 年發布了行政命令 14028,要求所有聯邦機關全面推動零信任架構,這就是針對現代複雜 IT 環境的一個典型回應。
企業 IT 架構因雲端化、行動化與遠距工作而變得更加分散,傳統 VPN 和防火牆無法涵蓋所有資源與終端,導致存取控管與可視性不足。
美國政府 2021 年發布 行政命令 14028,該命令要求政府機關全面採行零信任架構,並制定相關策略與實施計劃。具體措施包括強化身份驗證、多因素認證(MFA)、加密通訊,以及建立統一的資安事件應對機制,即為因應這類情境的典型案例。
三、台灣與全球政府以法規推動零信任
台灣推動進度
行政院於 2021 年提出《國家資通安全發展方案(110年至113年)》,以「善用智慧前瞻科技、主動抵禦潛在威脅」為主軸,明定數位發展部及資通安全署需推動政府零信任架構,優先試辦 A 級公務機關,建立零信任部署機制,自112年至113年底,已完成對47個資安A級機關的輔導,並成功導入零信任架構中的「身分鑑別」機制,以協助機關加速逐步建立零信任網路資安防護環境。
數發布的數位產業屬還在113年推動「零信任物聯網資安防護推動計畫」,推動產業建立零信任物聯網資安防護示範場域,針對打造零信任物聯網資安示範場域,帶動供應鏈廠商導入零信任並強化資安的業者提供補助。
金管會也於 111 年推出《金融資安行動方案 2.0》,將零信任列為核心策略之一,並於 113 年發布《金融業零信任架構參考指引》,鼓勵金融機構採用身分鑑別、設備健康檢查與網路分段管理等機制,以零信任思維續深化資安防護。
國際政策發展
美國是全球最早將零信任架構納入政府資安政策的國家。2021 年總統拜登發布行政命令 14028《改善國家網路安全》,要求所有聯邦政府機關全面導入零信任架構,並由 CISA(網路安全暨基礎設施安全局) 與 OMB(行政管理預算局) 制定實施路徑與技術標準。隨後,OMB 在 2022 年發布 M-22-09 公告,要求所有聯邦機關於 2024 年底前達成零信任目標。CISA 亦於 2023 年發布最新版 《Zero Trust Maturity Model v2.0》,明確定義五大支柱與三個成熟度層級,成為全球零信任導入範本。
新加坡的《Singapore Cybersecurity Strategy 2021》英國的 《National Cyber Strategy 2022》和澳洲的《Cyber Security Strategy 2023–2030》,也陸續將零信任列為國家關鍵基礎設施與政府系統資安強化重點。政策要求政府機構與關鍵營運商採行持續身份驗證、多因素驗證(MFA)、最小權限原則,以及微分段與異常行為偵測措施,以保護關鍵政府的資訊和因應不斷升級的網路攻擊。
四、企業可以逐步導入零信任架構
企業要導入零信任,需依據組織規模、現有環境與資安成熟度,訂定階段性目標,建議依下列步驟實施:
1. 建立身份與裝置盤點管理
透過身份存取管理系統(IAM)與終端裝置管理(EDR、MDM)盤點所有使用者、裝置與應用程式,建立可視化資產清單。
NIST SP 800-207 建議,應統一身份識別機制,並強制 MFA、多因素驗證,優先淘汰弱密碼與共用帳號。
2. 微分段與行為監控
依據業務單位與應用重要性進行網路微分段,阻絕橫向移動攻擊。搭配 UEBA(User and Entity Behavior Analytics)與 SIEM 平台,持續監控存取行為異常。
取代傳統 VPN,透過 Zero Trust Network Access(ZTNA)架構,僅允許經驗證與授權的身份連入特定應用與資源。Gartner 2023 Market Guide 發現各企業皆對零信任的微分段感到興趣,估計全球逾 60% 企業預計 2026 年將邁向採用 ZTNA,取代傳統 VPN。
3. FIDO 無密碼認證導入
推動 FIDO標準,取代密碼型登入,降低釣魚攻擊與帳密外洩風險。國際大型雲端與 SaaS 業者已大規模採用,如 Google、Microsoft、Okta 等。
結論:零信任是現代資安必然趨勢
在當今攻擊手法日益多元化、企業 IT 邊界消失的環境下,傳統資安架構已無法應對橫向滲透、帳密濫用與內部威脅風險。零信任架構透過「永不信任、持續驗證」,結合多因素驗證、ZTNA、微分段、資料分級與行為監控,為企業與政府建立動態防禦體系,降低攻擊面與損害範圍。
不論國內外,政府與大型企業皆將零信任列為中長期資安主軸。企業若能及早盤點資產、導入 IAM、ZTNA、FIDO 認證與微分段控管,逐步落實零信任五大支柱,將大幅提升整體防禦韌性,因應勒索病毒、APT 滲透、帳密外洩等威脅,保護核心營運不中斷。
Keypasco ZTNA
「Keypasco ZTNA」是一款基於零信任架構的資安解決方案,該產品參考了美國NIST、CISA標準以及台灣政府的零信任技術架構,通過國家資通安全研究院驗證,透過身分鑑別、裝置鑑別和信任推斷技術致力於幫助各類企業和公私部門提供全面而強大的資安防護。
- 身分鑑別: 提供多因素身分驗證,及FIDO U2F、FIDO2解決方案。
- 裝置鑑別: 掃描設備特徵與軟體訊息,並儲存於Keypasco伺服器進行設備認證。
- 信任推斷: 透過人工智慧分析行為,持續評估風險並觸發新的驗證。
Keypasco 符合各國法規與實務需求,目前已導入國內外政府機關、金融服務、醫療院所、智慧建築、高科技等產業,我們將持續協助企業強化資安合規能力,滿足各種場域的需求。